oAuth2使用用户信息的访问令牌
问题描述:
我们在使用oAuth2获取用户信息的方式上,在公司中有一点争论。oAuth2使用用户信息的访问令牌
第一个开发人员正在获取访问令牌中的用户信息,其中包含库spring-security-oauth2并对其进行解码。
第二个开发者使用开放的识别码的oauth2的顶部与库Nimbus连接,这样你会得到的UserInfo端点的用户信息。
哪种方式更好parctice?以及为什么使用开放ID连接,如果我可以让我的用户信息没有这个
感谢您的帮助和解释
答
访问令牌 - 而事实上裸露的OAuth 2.0 - 不能用于对用户进行认证。它只能用于检索有关用户的信息,而用户可能不是操作浏览器的用户。请参阅:https://oauth.net/articles/authentication/
因此,如果您想以符合标准的方式对用户进行身份验证,则需要使用OpenID Connect。
谢谢你!我认为oAuth2是身份验证协议,对我很惭愧。 –